2FA로 이동(ASA SSL VPN에 대한 XNUMX단계 인증)

조직의 특정 서버에 액세스해야 하는 사람이 사용자인지 파트너인지에 관계없이 기업 환경에 대한 원격 액세스를 제공해야 하는 필요성이 점점 더 자주 대두되고 있습니다.

이러한 목적을 위해 대부분의 회사는 조직의 로컬 리소스에 대한 액세스를 제공하는 안정적으로 보호되는 방법임이 입증된 VPN 기술을 사용합니다.

우리 회사도 예외는 아니었고 다른 많은 회사와 마찬가지로 우리도 이 기술을 사용합니다. 그리고 다른 많은 사람들과 마찬가지로 Cisco ASA 55xx를 원격 액세스 게이트웨이로 사용합니다.

원격 사용자 수가 증가함에 따라 자격증명 발급 절차를 단순화할 필요가 있습니다. 그러나 동시에 이는 안전을 침해하지 않고 수행되어야 합니다.

우리는 일회용 비밀번호를 사용하여 Cisco SSL VPN을 통해 연결하기 위해 이중 인증을 사용하는 솔루션을 찾았습니다. 그리고 이 출판물에서는 필요한 소프트웨어에 대해 최소한의 시간과 비용으로 이러한 솔루션을 구성하는 방법을 알려줍니다(인프라에 이미 Cisco ASA가 있는 경우).

시장에는 일회성 비밀번호를 생성하기 위한 박스형 솔루션이 풍부하며, SMS를 통해 비밀번호를 보내거나 하드웨어와 소프트웨어(예: 휴대폰) 모두에서 토큰을 사용하는 등 비밀번호를 얻기 위한 다양한 옵션을 제공합니다. 그러나 현재의 위기 상황에서 돈을 절약하고 고용주를 위해 돈을 절약하려는 욕구로 인해 일회용 암호 생성 서비스를 무료로 구현할 수 있는 방법을 찾게 되었습니다. 무료이지만 상업용 솔루션보다 열등하지 않습니다. 여기서는 이 제품에도 상업용 버전이 있다는 점을 참고하여 예약해야 하지만 금전적 비용은 XNUMX이 될 것이라는 데 동의했습니다.

따라서 다음이 필요합니다.

- 웹을 통해 서버에 액세스하기 위한 도구 세트가 내장된 Linux 이미지(multiOTP, FreeRADIUS 및 nginx)(http://download.multiotp.net/ - VMware용으로 미리 만들어진 이미지 사용)
— 액티브 디렉토리 서버
— Cisco ASA 자체(편의상 ASDM을 사용합니다)
— TOTP 메커니즘을 지원하는 모든 소프트웨어 토큰(예를 들어 저는 Google Authenticator를 사용하지만 동일한 FreeOTP도 사용합니다)

이미지가 어떻게 전개되는지 자세히 설명하지 않겠습니다. 결과적으로, 이미 multiOTP와 FreeRADIUS가 설치되어 함께 작동하도록 구성된 Debian Linux와 OTP 관리를 위한 웹 인터페이스가 제공됩니다.

1단계. 시스템을 시작하고 네트워크에 맞게 구성합니다.
기본적으로 시스템에는 루트 루트 자격 증명이 제공됩니다. 처음 로그인한 후 루트 사용자 비밀번호를 변경하는 것이 좋을 것이라고 다들 짐작하셨을 것입니다. 또한 네트워크 설정을 변경해야 합니다(기본적으로 게이트웨이는 '192.168.1.44'이고 '192.168.1.1'입니다). 그런 다음 시스템을 재부팅할 수 있습니다.

Active Directory에서 사용자를 생성해 보겠습니다. otp, 비밀번호 포함 나의슈퍼비밀번호.

2단계. 연결 설정 및 Active Directory 사용자 가져오기
이렇게 하려면 콘솔에 액세스하고 파일에 직접 액세스해야 합니다. multiotp.php, 이를 사용하여 Active Directory에 대한 연결 설정을 구성합니다.

디렉토리로 이동 /usr/local/bin/multiotp/ 다음 명령을 차례로 실행합니다.

./multiotp.php -config default-request-prefix-pin=0

일회성 핀(0 또는 1)을 입력할 때 추가(영구) 핀이 필요한지 여부를 결정합니다.

./multiotp.php -config default-request-ldap-pwd=0

일회용 PIN(0 또는 1)을 입력할 때 도메인 비밀번호가 필요한지 여부를 결정합니다.

./multiotp.php -config ldap-server-type=1

LDAP 서버 유형이 표시됩니다(0 = 일반 LDAP 서버, 이 경우 1 = Active Directory).

./multiotp.php -config ldap-cn-identifier="sAMAccountName"

사용자 이름을 표시할 형식을 지정합니다(이 값은 도메인 없이 이름만 표시합니다).

./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"

마찬가지입니다. 그룹에만 해당됩니다.

./multiotp.php -config ldap-group-attribute="memberOf"

사용자가 그룹에 속하는지 여부를 확인하는 방법을 지정합니다.

./multiotp.php -config ldap-ssl=1

LDAP 서버에 대한 보안 연결을 사용해야 할까요(물론 그렇습니다!)

./multiotp.php -config ldap-port=636

LDAP 서버 연결용 포트

./multiotp.php -config ldap-domain-controllers=adSRV.domain.local

Active Directory 서버 주소

./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"

도메인에서 사용자 검색을 시작할 위치를 나타냅니다.

./multiotp.php -config ldap-bind-dn="[email protected]"

Active Directory에서 검색 권한이 있는 사용자를 지정합니다.

./multiotp.php -config ldap-server-password="MySuperPassword"

Active Directory에 연결하기 위한 사용자 비밀번호를 지정하세요.

./multiotp.php -config ldap-network-timeout=10

Active Directory 연결 시간 초과 설정

./multiotp.php -config ldap-time-limit=30

사용자 가져오기 작업에 대한 시간 제한을 설정했습니다.

./multiotp.php -config ldap-activated=1

Active Directory 연결 구성 활성화

./multiotp.php -debug -display-log -ldap-users-sync

Active Directory에서 사용자를 가져옵니다.

3단계. 토큰용 QR 코드 생성
여기의 모든 것은 매우 간단합니다. 브라우저에서 OTP 서버의 웹 인터페이스를 열고 로그인한 후(관리자의 기본 비밀번호를 변경하는 것을 잊지 마세요!) "인쇄" 버튼을 클릭하세요.

이 작업의 결과는 두 개의 QR 코드가 포함된 페이지가 됩니다. 우리는 그 중 첫 번째 코드를 대담하게 무시하고(Google Authenticator / Authenticator / 2 Steps Authenticator라는 매력적인 비문에도 불구하고) 다시 대담하게 두 번째 코드를 전화의 소프트웨어 토큰으로 스캔합니다.

(예, QR 코드를 읽을 수 없도록 의도적으로 손상시켰습니다.)

이러한 작업을 완료하면 XNUMX초마다 애플리케이션에서 XNUMX자리 비밀번호가 생성되기 시작합니다.

확실히 하려면 동일한 인터페이스에서 확인할 수 있습니다.

휴대폰의 애플리케이션에 있는 사용자 이름과 일회용 비밀번호를 입력하면 됩니다. 긍정적인 답변을 받았나요? 그럼 계속 진행하겠습니다.

4단계. FreeRADIUS 작동의 추가 구성 및 테스트
위에서 언급했듯이 multiOTP는 이미 FreeRADIUS와 작동하도록 구성되어 있으므로 테스트를 실행하고 VPN 게이트웨이에 대한 정보를 FreeRADIUS 구성 파일에 추가하는 것만 남았습니다.

서버 콘솔의 디렉토리로 돌아갑니다. /usr/local/bin/multiotp/, 입력하다:

./multiotp.php -config debug=1
./multiotp.php -config display-log=1

더 자세한 로깅을 포함합니다.

FreeRADIUS 클라이언트 구성 파일(/etc/freeradius/clinets.conf) 다음과 관련된 모든 줄을 주석 처리합니다. 로컬 호스트 두 개의 항목을 추가합니다.

client localhost {
        ipaddr = 127.0.0.1
        secret          = testing321
        require_message_authenticator = no
}

- 테스트용

client 192.168.1.254/32 {
        shortname =     CiscoASA
        secret =        ConnectToRADIUSSecret
}

— VPN 게이트웨이의 경우.

FreeRADIUS를 다시 시작하고 로그인을 시도합니다.

radtest username 100110 localhost 1812 testing321

어디에서 사용자 이름 = 사용자 이름, 100110 = 전화 애플리케이션에서 제공한 비밀번호, 로컬 호스트 = RADIUS 서버 주소, 1812 — RADIUS 서버 포트, testing321 — RADIUS 서버 클라이언트 비밀번호(구성에서 지정).

이 명령의 결과는 대략 다음과 같이 출력됩니다.

Sending Access-Request of id 44 to 127.0.0.1 port 1812
        User-Name = "username"
        User-Password = "100110"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20

이제 사용자가 성공적으로 인증되었는지 확인해야 합니다. 이를 위해 multiotp 자체의 로그를 살펴보겠습니다.

tail /var/log/multiotp/multiotp.log

그리고 마지막 항목이 다음과 같은 경우:

2016-09-01 08:58:17     notice  username  User    OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17     debug           Debug   Debug: 0 OK: Token accepted from 127.0.0.1

그러면 모든 것이 순조롭게 진행되어 완료할 수 있습니다.

5단계: Cisco ASA 구성
Active Directory와 함께 구성된 SLL VPN을 통한 액세스를 위한 그룹 및 정책이 이미 구성되어 있으며 이 프로필에 대한 XNUMX단계 인증을 추가해야 한다는 점에 동의하겠습니다.

1. 새 AAA 서버 그룹을 추가합니다.

2. 멀티OTP 서버를 그룹에 추가합니다:

3. 편집한다 연결 프로필, Active Directory 서버 그룹을 기본 인증 서버로 설정:

4. 탭 고급 -> 인증 또한 Active Directory 서버 그룹을 선택합니다.

5. 탭 고급 -> 보조 인증을 위해서는 해당 멀티OTP 서버가 등록되어 있는 생성된 서버 그룹을 선택하세요. 세션 사용자 이름은 기본 AAA 서버 그룹에서 상속됩니다.

설정을 적용하고

6단계, 마지막 단계라고도 함
SLL VPN에 대해 XNUMX단계 인증이 작동하는지 확인해 보겠습니다.

짜잔! Cisco AnyConnect VPN 클라이언트를 통해 연결할 때 두 번째 일회용 비밀번호도 입력하라는 메시지가 표시됩니다.

이 글이 누군가에게 도움이 되기를 바라며, 누군가에게 이 글을 사용하는 방법에 대해 생각할 거리를 줄 수 있기를 바랍니다. 무료 기타 작업을 위한 OTP 서버. 원하시면 댓글로 공유해주세요.

출처 : habr.com